新しターゲットを見つけると立て続けに… いつもご覧くださりありがとうございます! 新しいターゲットを見つけると立て続けに送ってくる詐欺メール。
先日見つけた新しいターゲット『農業協同組合(以降JA)』ユーザーを集中的に狙い始めたようです。
ただ、他のターゲットと同じようにすぐに見切られてしまうのも詐欺メール。
そろそろ皆さんに見切られてきたようですね。
 相変わらず差出人のメールアドレスドメイン(@より後ろ)もリンクのURLのドメインもどちらもJAの物とは程遠いドメイン。
これで騙されろと言うのですからお笑いです。(笑) では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。 件名は『[spam] [JAネットバンク]利用停止のお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 それにしても詐欺メールってどうしてアルファベットを全角で書くのでしょうね? 差出人は『”JAネットバンク” <no-reply@pitilu.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 JAネットバンクのオフィシャルサイトのURLで確認すると、こちらのドメインは”jabank.jp”です。
故に、ここで使われているドメイン”pitilu.com”は、当然JAネットバンクのものではありません。
詐欺メールによく使われる『CTG Server Limited』 では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from mail4.pitilu.com (unknown [223.26.57.174])』 | ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは送信者のデバイスに割当てられたもので偽装することができません。
ここ記載されている嘘偽りのないIPアドレス”223.26.57.174”は、差出人が利用したメールサーバーの情報でこれを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。
 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、香港の九龍(Kowloon)地域。
詐欺メール発信地としては良く見掛ける場所ですが、あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーは、インドやバングラデシュに拠点を置く『CTG Server Limited』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバーを介して届けられたようです。
港の九龍地区にアジトが?! では引き続き本文。 いつもJAネットバンクをご利用いただきありがとうございます。
JAネットバンクの利用停止を行いましたので、お知らせいたします。
お客さまにはお手数をおかけいたしますが、下記のリンクをアクセスし、本人確認のお手続きをお願い申し上げます。h**ps://nyhancao.com 本人確認後、ご利用再開することができます。
何卒ご理解とご協力をお願い申しあげます。 | ※直リンク防止のためリンクのURLの一部の文字を変更してあります。 確たる理由も無くJAネットバンクの利用が停止されたことを伝えています。
この利用停止措置は、リンクから本人確認をすることで解除されるとの事。
そのリンクは、本文内に直書きされていますが、これもJAネットバンクのドメインではないもの。
更にはこのリンクは偽装されていて、書かれているURLとは全く異なるサイトに導かれるよう仕組まれていました。
その実際のリンク先をコンピュータセキュリティブランドのトレンドマイクロの『サイトセーフティーセンター』で検索するとその危険度はこのように評価されていました。
 既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。 このURLで使われているドメインは”gzyinrun.com”と、これまたJAネットバンクの物とは似ても似つかぬもの。
このドメインにまつわる情報を『aWebAnalysis』さんで取得してみます。
このドメインを割当てているIPアドレスは”43.226.17.101”
そして代表地点として地図に立てられたピンの位置は、またしても香港。
更に詳しい位置を『IP調査兵団』さんで確認してみます。
 こちらもあくまで大雑把な代表地点でございますが、やはり九龍地区でした。
利用されているホスティングサービスも香港に拠点を置く『BGP Network Limited』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
いったい、香港の九龍地区にどのようなアジトがあるのでしょうか? 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。 これは先日ご紹介したこちらの詐欺サイトと全く同じ画面。 『詐欺メール』『【農業協同組合】振込(出金)、ATMのご利用(出金)利用停止のお知らせ』と、来た件
先日と同じ結果なのは分かり切っていますが『北海道⇒道北⇒JAあさひかわ』と進むと
やはりこのようなログイン画面が開きました。 もちろん詐欺サイトなので絶対にログインしないでください!
ログインしてしまうと、その情報が詐欺師に流れてしまいます。
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;
| 
